k8s 资源管理

节点故障大部分都是由于资源分配不合理、超额分配引起的，因此需要用某个技术手段保证节点的资源不会过大地超额分配。Kubernetes为我们提供了开箱即用的资源管理，可以通过ResourceQuota和LimitRange的配合防止节点资源超额分配。

ResourceQuota

首先看一下ResourceQuota（资源配额）的使用，资源配额是限制某个命名空间对资源使用的一个总量限制，比如内存、CPU、Pod数量等。

什么是资源配额

在生产环境中，可能会有多个Kubernetes集群，面向开发环境、测试环境、预生产环境和生产环境等。身为Kubernetes管理员，必然知道每个环境的规模有多大、可调度资源有多少，并且知道如何合理地为容器分配内存和CPU，所以一个管理员去管理整个Kubernetes集群时，很少会有资源分配超出集群可调度范围的情况。

在生产环境中，可能会有多个Kubernetes集群，面向开发环境、测试环境、预生产环境和生产环境等。身为Kubernetes管理员，必然知道每个环境的规模有多大、可调度资源有多少，并且知道如何合理地为容器分配内存和CPU，所以一个管理员去管理整个Kubernetes集群时，很少会有资源分配超出集群可调度范围的情况。

为了解决上述问题，Kubernetes引入了ResourceQuota的概念，以方便Kubernetes管理员方便地进行资源分配，比如给A项目组分配16核64GB的资源，并且最多只能部署20个Pod、30个Service等，这样来对Kubernetes的各类资源进行限制。

定义一个ResourceQuota

和其他资源配置方法一样，资源配额也可以通过一个YAML文件进行创建，比如定义一个比较常用的ResourceQuota如下：

apiVersion: v1
kind: ResourceQuota
metadata:name: example-quotanamespace: default
spec:hard:pods: "10"requests.cpu: "4"requests.memory: "10Gi"limits.cpu: "8"limits.memory: "20Gi"

在此配置中：

pods: “10” 限制命名空间中的 Pod 数量最多为 10 个。
requests.cpu: “4” 限制命名空间中所有 Pod 合计的 CPU 请求最多为 4 个 CPU。
requests.memory: “10Gi” 限制命名空间中所有 Pod 合计的内存请求最多为 10 GiB。
limits.cpu: “8” 限制命名空间中所有 Pod 合计的 CPU 使用量上限为 8 个 CPU。
limits.memory: “20Gi” 限制命名空间中所有 Pod 合计的内存使用量上限为 20 GiB。

ResourceQuota的使用

接下来演示ResourceQuota的具体使用方法，首先创建一个用于测试的Namespace：

kubectl create ns quota-example

创建一个测试Demo，比如限制该Namespace的PVC不能超过1个：

apiVersion: v1
kind: ResourceQuota
metadata:name: pvc-quotanamespace: quota-example
spec:hard:persistentvolumeclaims: "1"

创建该ResourceQuota：

     kubectl create -f quota-objects.yaml

查看创建的资源限制状态：

kubectl get quota pvc-quota -n quota-example -o yaml

可以从status字段的used看出当前资源限制的使用量，并且Namespace只有在创建了ResourceQuota才会启用资源使用的配额，没有创建ResourceQuota的Namespace不限制资源使用。

之后创建一个PVC：

**touch pvc.yaml **

apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: my-pvcnamespace: quota-example
spec:accessModes:- ReadWriteOnceresources:requests:storage: 10GistorageClassName: standard

kubectl create -f pvc.yaml -n quota-example

查看当前资源的使用情况：

kubectl get quota pvc-quota -n quota-example -o yaml

再次尝试创建PVC：

touch pvc2.yaml

apiVersion: v1
kind: PersistentVolumeClaim
metadata:name: my-pvc2namespace: quota-example
spec:accessModes:- ReadWriteOnceresources:requests:storage: 10GistorageClassName: standard

kubectl create -f pvc2.yaml -n quota-example

可以看到此时无法创建PVC，其他资源的限制类似，在此不再演示。

环境清理：

LimitRange

和ResourceQuota不同的是，LimitRange用来配置默认值，也就是一个Pod如果没有配置要用多少内存、CPU，LimitRange会在创建Pod时添加一个默认值。

LimitRange的用途

每个命名空间的最大资源使用量，细心的读者可能会发现，如果创建了一个Pod或Deployment没有指定requests和limits字段，是不是就意味着资源配额对内存和CPU的限制变成了一个摆设？答案是可想而知的，CPU和内存永远不会被限制。还有另一种情况，假如一个Namespace分配了16核、64GB的空间，之后创建一个申请了requests.cpu为16、requests.memory为64GB的容器，那么单个Pod就能把整个Namespace的资源全部占用。

为了防止这类情况发生，Kubernetes又引出了另一个概念：LimitRanger，用于针对没有配置requests和limits的资源设置一个默认值，同时配置单个资源最大的requests和limits，这样就能解决上述问题（注意：LimitRanger不会影响已经创建的资源）​。

示例1：配置默认的requests和limits

可以通过LimitRanger配置默认的requests和limits值，用来解决创建的资源没有配置或配置过小的requests和limits带来的问题，比如创建一个requests.cpu默认为0.5（0.5为半颗CPU，1个CPU等于1000m）​、requests.memory为256MB、limits.cpu为1、limits.memory为512MB的LimitRanger（创建完成后可以通过kubectl get limitrange cpu-mem-limit-range -oyaml查看）​：

touch cpu-mem-limit-range.yaml

apiVersion: v1
kind: LimitRange
metadata:name: cpu-mem-limit-rangenamespace: default
spec:limits:- default:cpu: 1memory: 512MidefaultRequest:cpu: 0.5memory: 256Mitype: Container

default: 当 Pod 没有指定资源限制时，为容器设置默认的 CPU 和内存上限。
defaultRequest: 当 Pod 没有指定资源请求时，为容器设置默认的 CPU 和内存请求。
type: 规定该规则适用于容器级别。

应用 LimitRange：
使用 kubectl 命令将 LimitRange 对象应用到 Kubernetes 集群中。kubectl apply -f cpu-mem-limit-range.yaml
验证 LimitRange：
可以使用以下命令查看已经定义的 LimitRange：kubectl get limitrange -n default删除limit rangekubectl delete limitrange cpu-mem-limit-range -n default

定义pod，touch nginx-pod.yaml

apiVersion: v1
kind: Pod
metadata:name: nginx-podlabels:app: nginx
spec:containers:- name: nginx-containerimage: nginx:latestports:- containerPort: 80

kubectl apply -f nginx-pod.yaml

kubectl get pod nginx-pod -o yaml

可以看到该Pod被设置为LimitRanger的默认配置。

在配置了requests和limits参数时，会以自行配置的为准（如果没有超过LimitRanger的最大、最小限制的话）​。如果配置了limits而没有配置requests，那么requests的默认值将被设置成limits配置的参数，由于该配置和ResourceQuota类似，此处不再演示，可以参考ResourceQuota的步骤进行验证。

示例2：配置requests和limits的范围

上述针对没有设置requests和limits字段的资源添加了默认值，但是并没有限制requests和limits的最大值和最小值，这样同样会给集群带来风险，所以在管理资源分配时，对requests和limits的最大值和最小值也需要进行管控。

touch cpu-min-max-demo-1r.yaml

apiVersion: v1
kind: LimitRange
metadata:name: cpu-min-max-demo-1r
spec:limits:- max:cpu: "800m"memory: "1Gi"min:cpu: "200m"memory: "500Mi"type: Container

kubectl apply -f cpu-mem-limit-range.yaml
验证 LimitRange：
可以使用以下命令查看已经定义的 LimitRange：kubectl get limitrange -n defaultkubectl get limitrange cpu-min-max-demo-1r -o yaml

假设创建一个内存最大值超过limits限制的Pod：

vim nginx-pod1.yaml
kubectl apply -f nginx-pod1.yaml

apiVersion: v1
kind: Pod
metadata:name: nginx-pod
spec:containers:- name: nginximage: nginx:latestresources:limits:memory: "1.5Gi"requests:memory: "800Mi"

假设创建一个内存最小值小于limits最小值的Pod：

vim nginx-pod2.yaml
kubectl apply -f nginx-pod2.yaml

apiVersion: v1
kind: Pod
metadata:name: nginx-pod
spec:containers:- name: nginximage: nginx:latestresources:limits:memory: "1.5Gi"requests:memory: "100Mi"